Contents
像黑帽駭客一樣破解網站和 Web 應用程式,並像專家一樣保護它們。
課程介紹影片
從這 10 小時的課程,你會學到
- 90多個視頻,帶你從初學者到高級網站駭客
- 創建一個駭客實驗室和所需的軟體(在Windows、OS X 和 Linux 上)
- 成為漏洞賞金獵人並發現漏洞賞金漏洞!
- 發現、利用和緩解許多危險的網絡漏洞
- 利用這些漏洞入侵 Web 伺服器
- 繞過這些漏洞的安全保護和進階利用
- 進階後滲透攻擊 – 在同一伺服器上破解其他網站,轉儲資料庫,特權升級…. etc
- 繞過安全性和過濾器
- 使用代理攔截請求
- 採用 SQL 查詢來發現和利用安全頁面中的 SQL 注入
- 使用 SQL 注入完全控制目標伺服器
- 發現和利用盲目 SQL 注入
- 安裝Kali Linux – 一個滲透測試作業系統
- 學習 linux 指令以及如何與終端機進行互動
- 學習 linux 基礎
- 了解網站和 Web 應用程式的工作原理
- 了解瀏覽器如何與網站進行通訊
- 收集有關網站的敏感資訊
- 發現目標網站上使用的伺服器、技術和服務
- 發現與特定網站相關聯的電子郵件和敏感資料
- 尋找與網站相關聯的所有子網域
- 發現與目標網站關聯的未發布目錄和檔案
- 尋找與目標網站託管在同一伺服器上的所有網站
- 發現、利用和修正檔案上傳的漏洞
- 利用進階檔案上傳漏洞並獲得對目標網站的完全控制
- 發現,利用和修正本地端檔案所包含的漏洞
- 利用本地檔案包含的漏洞獲取 shell
- 利用進階本地端檔案所包含的漏洞並獲得對目標網站的完全控制
- 利用進階遠端檔案所包含的漏洞並獲得對目標網站的完全控制
- 發現、修正和利用 SQL 注入漏洞
- 繞過登錄表單並使用 SQL 注入以管理員身份登錄
- 編寫 SQL 查詢以搜尋資料庫、表單和敏感資料,例如使用 SQL 注入的使用者名稱 AD ( Active Directory )密碼
- 繞過過濾,並使用 SQL 注入以無密碼的管理員身份登錄
- 繞過過濾和安全措施
- 使用 SQL 注入對伺服器讀取/寫入檔案
- 快速補丁SQL注入
- 學習正確的方法編寫 SQL 查詢以防止 SQL 注入
- 發現基本和進階反眏的 XSS 漏洞
- 發現基本和進階儲存的 XSS 漏洞
- 如何使用 BeEF 框架
- 使用反眏的 XSS 漏洞將使用者鉤到 BeEF
- 從鉤到的受害者竊取憑證
- 對鉤到的受害者執行 javascript 程式碼
- 創建一個不可檢測的後門
- 使用 XSS 漏洞駭入電腦
- 修復 XSS 漏洞並保護自己免於作為被他們控制的使用者
- 使用暴力和 wordlist 攻擊的意思
- 創建 worldlist 或是字典( dictionary )
- 啟動 wordlist 攻擊和猜測管理員的密碼
- 使用 Web proxy 自動發現所有上述漏洞
- 在目標 Web 伺服器上執行系統命令
- 訪問檔案系統(在目錄之間導航、讀/寫檔案)
- 下載、上傳檔案
- 繞過安全測量
- 進入同一網路伺服器上的所有網站
- 連接到資料庫並執行 SQL 查詢或將整個資料庫下載到本地機器
- 發現、利用和緩解 CSRF 漏洞
規定為何?
- 基本 IT 技能
- 無需 Linux、程式設計或駭客知識
- 最低 4GB RAM 記憶體電腦
- 操作系統:Windows / OS X / Linux
課程說明
注意:除某些基礎知識外,我的其他課程都沒涵蓋到本課程的內容。儘管我的其他課程之一涵蓋了網站駭客攻擊,但是該課程僅涵蓋本課程深入探討該主題的基礎知識,包括更多技術、更多漏洞、進階利用、進階後滲透攻擊、繞過安全性等等!
歡迎來到我這有關網站滲透測試的綜合課程。在本課程中,你將學習如何駭入網站/ Web 應用程式!本課程假定你對駭客技術沒有任何了解,最終你將具備高水準,能夠像黑帽駭客一樣駭入並發現網站中的錯誤,並像安全專家一樣保護它們!
本課程非常實用,但不會忽視理論,首先你將學習如何安裝所需的軟體(在Windows、Linux 和 Mac OS X 上),然後我們將以網站基礎知識開始,組成網站的各種組件、其使用的技術,然後我們將立即深入研究網站駭客策略。從這裡開始,你將通過範例來學習一切,從發現漏洞並利用它們來入侵網站,所以,我們將永遠不會有枯燥乏味的理論講座。
在進入駭客攻擊之前,你將首先學習如何收集有關目標網站的全面資訊,然後這課程將以多個章節進行,每個章節涵蓋如何發現、利用和緩解常見的 Web 應用程式漏洞。 針對每個漏洞,你將首先學習基本的利用方法,然後學習進階技術來繞過安全性,提升特權,訪問資料庫,甚至使用被駭入的網站入侵同一伺服器上的其他網站。
此處涉及的所有漏洞在漏洞賞金計劃中都很常見,其中大多數都是 OWASP Top 10的一部分。 你將學習如何以及為什麼可以利用這些漏洞,如何解決這些漏洞以及避免這些漏洞的正確做法。
以下是課程內容更詳細的分解:
1.資訊收集 – 本節將教你如何收集有關目標網站的資訊,你將了解如何發現使用的 DNS 伺服器,服務,子網域,未發布的目錄,敏感檔案, 使用者電子郵件,同一伺服器上的網站,甚至是網路託管供應商。此資訊至關重要,因為它增加了能夠成功入侵目標網站的機會。
2. 發現、利用和緩解 – 在本節中,你將學習如何發現,利用和緩解大量的漏洞,本節分為多個子部分,每個都包括一個特定的漏洞,首先你將了解該漏洞是什麼和它允許我們做什麼,然後你將學習如何利用這個漏洞,最後,我們將看看導致此漏洞的程式碼,並告訴你如何解決它,並保護網站,以下漏洞被覆蓋在課程中:
- 檔案上傳:此漏洞允許攻擊者在目標Web伺服器上上傳可執行的檔案,利用這些漏洞正確地讓你對目標網站的完全控制。
- 程式碼執行 – 此漏洞允許使用者在目標 Web 伺服器上執行系統程式碼,這可以用於執行惡意程式碼,並獲得反向 shell 訪問,這使攻擊者完全控制目標 Web 伺服器。
- Local File inclusion – 此漏洞可用於讀取目標伺服器上的任何檔案,這可以利用來讀取敏感檔案,我們不會停止在那,你將學習兩種方法來升級此漏洞,並獲得一個反向shell連接,使你能夠完全控制目標Web伺服器。
- Remote File inclusion – 此漏洞可以載入遠端檔案在目標 Web 伺服器上,利用此漏洞正確地使你完全控制目標 Web 伺服器。
- SQL注入 – 這是課程中最大的部分之一,這是因為這是最危險的漏洞之一,發現它無處不在,不僅是,但它可以利用允許我們來做上述漏洞所有和更多的事情,所以它允許你以管理員身份登錄,而無需知道密碼,進入資料庫並獲取所有儲存在那裡的資料,如使用者名稱,密碼,信用卡….等,讀取儲存在伺服器中的檔案,將檔案寫入服務器,甚至獲得一個反向shell訪問權限,使你可以完全控制Web伺服器!
- XSS – 此漏洞可用於對於訪問有弱點頁面的使用者執行JavaScript程式碼,我們不會停止,你將學習如何竊取使用者的憑證(如facebook或youtube密碼),甚至獲得他們的電腦的完全訪問權限。 你將學習所有三種類型(反射,儲存和基於DOM)。
- 不安全的 session 管理 – 在本節中,你將了解如何利用 Web 應用程式中不安全的 session 管理,並在不知道密碼的情況下登錄其他用戶帳戶, 你還將學習如何發現和利用CSRF(跨站請求偽造)。
- 暴力和字典攻擊 – 在本節中,你將了解這些攻擊是什麼,它們之間的區別和如何啟動它們,在成功的情況下,你將能夠猜到你的目標登錄的密碼。
3. 後駭客攻擊( Post Exploitation ) – 在本節中,你將了解你可以透過利用上述漏洞獲得的訪問權限,你將學習如何將反向shell訪問轉換為Weevely訪問,反之亦然,你還將學習如何在目標伺服器上執行系統命令,在目錄之間瀏覽,訪問同一伺服器上的其他網站,上傳/下載文件,訪問資料庫甚至將整個資料庫下載到本地端電腦,你將學習如何繞過安全性,做以上所有這些入侵,即使你沒有權限這樣做!
本課程中的所有攻擊都是針對任何真實網站的實際攻擊,在每個漏洞中,你將學習基本的攻擊,然後你將學習高級方法,將給你更多的權限或允許你繞過安全測量 — 你將學習如何和為什麼這些漏洞是可利用的,如何解決它們,以及什麼是正確的做法可以避免它們。
注意:本課程僅為教育目的而創建,所有攻擊都在我自己的實驗室或對我有權限測試的設備上啟動。
注意:本課程完全是Zaid Sabih的產品,沒有其他組織與它或認證考試相關聯。雖然,您將收到Udemy的課程完成認證,除此之外沒有其他組織。
目標受眾是誰?
- 任何有興趣學習網站和 Web 應用程式駭客/滲透測試的人
- 任何想要了解駭客如何破解網站的人
- 任何人想要學習如何保護網站和 Web 應用程式防止駭客入侵
- Web開發人員,以便他們可以創建安全的Web應用程式和保護他/她們現有的網站
- 網頁管理員,以便他/她們可以保護他們的網站
講師簡介
Zaid Sabih,道德駭客、滲透測試和資訊科學家 ( 更多講師主講課程介紹 )
我的名字是Zaid Al-Quraishi,我是一個道德駭客、滲透測試和資訊科學家。
我喜歡研究駭客技術且不喜歡依循常規,但不要誤會我,因為我是一個道德駭客。
我在道德駭客技術上的經驗很豐富。 從2009年起我開始在一個道德駭客網站(iSecuri1ty)製作視訊課程,我收到了很好的回響。我的課程讓我被提拔為這個網站的編輯。我也在iSecur1ty的滲透測試團隊工作。
在2013年,我開始在iSecur1ty培訓中心的線上教授我的第一個課程,這個課程再次獲得學生很棒的回饋,這促使我製作一個英文版的課程。
這門英文版的課程在Udemy維持 一年最受歡迎的付費課程之一,再次獲得很好的迴響,因此我決定做更多關於道德駭客的課程。
我的教學方法大多是透過範例,所以我通常從解釋每種技術背後的理論,然後告訴你它在現實生活中如何運作。
英文字幕:有
- 想要了解如何將英文字幕自動翻譯成中文? 請參考這篇 How-To
- 點選這個✨優惠連結✨ 課程特價 | Udemy 永久擁有課程 NT330 起( 在電腦瀏覽器登入,點選“優惠連結”後再回想要的課程介紹中點選“報名參加課程”即可取得 )
- Udemy 現在越來越多課程有中文字幕,請參考 Soft & Share 中文線上課程
- 手機上點選優惠連結看到的價格比電腦上看到的貴
- $代表當地貨幣, 如在台灣為 NT
- 點選”報名參加課程”有可能因瀏覽器 cookies 轉久一點或回報錯誤而無法連上,請稍等刷新或重新點選就會出現
報名參加課程
也許你會有興趣
- 更多資安相關線上課程
- ★英語學習地圖 – 練好英文是最大的學習槓桿
- 如何找工作學習地圖 – 找工作不要靠運氣!
請問這是中文課程教學嗎?
這是英文課程喔!
那麼課程是英文的, 是否有提供中文字幕呢?
你好!這個課程沒有中文字幕,可以點課程網址進去有試看片段,聽一下老師講的英文+簡報看是不是可以幫助你了解課程內容